Terms and conditions for delaying notifications

Den enhet för hantering av it-säkerhetsincidenter (CSIRT-enhet) som utsetts till samordnare och som först tog emot anmälan om en aktivt utnyttjad sårbarhet eller en allvarlig incident som påverkar säkerheten för en produkt med digitala element (den CSIRT-enhet som först tog emot anmälan) får under exceptionella omständigheter, särskilt på begäran av tillverkaren och mot bakgrund av den anmälda informationens känslighet, och på grundval av motiverade cybersäkerhetsrelaterade skäl, besluta att under en tidsperiod som är absolut nödvändig skjuta upp spridningen av anmälan via den gemensamma rapporteringsplattformen till de CSIRT-enheter som utsetts till samordnare på det territorium där den tillverkare som lämnade in anmälan har angett att produkten med digitala element har tillhandahållits (de berörda CSIRT-enheterna). Det är därför nödvändigt att fastställa villkoren för att tillämpa sådana skäl. När sådana skäl är tillämpliga får den CSIRT-enhet som först tog emot anmälan skjuta upp spridningen till berörda CSIRT-enheter under en tidsperiod som är absolut nödvändig, men måste inte göra det. Enligt artikel 16.2 i förordning (EU) 2024/2847 ska en CSIRT-enhet som först tog emot anmälan, om den beslutar att åberopa sådana skäl, omedelbart informera Europeiska unionens cybersäkerhetsbyrå (Enisa) om beslutet om uppskjutande och ange varför den skjuter upp spridningen samt när den kommer att sprida anmälan ytterligare.

I enlighet med artikel 16.2 andra stycket i förordning (EU) 2024/2847 ska villkoren för att tillämpa de cybersäkerhetsrelaterade skäl som anges i den här förordningen inte tillämpas på Enisas tillgång till den anmälda informationen. Enisas tillgång till den anmälda informationen får endast begränsas under särskilt exceptionella omständigheter, t.ex. om tillverkaren i sin anmälan anger att ett av de tre villkor som avses i artikel 16.2 tredje stycket a, b eller c i förordning (EU) 2024/2847 är uppfyllt, och då endast i samband med den anmälan om sårbarhet inom 72 timmar som avses i artikel 14.2 b i förordning (EU) 2024/2847. I sådana fall är den enda information som samtidigt ska göras tillgänglig för Enisa information om att tillverkaren har gjort en anmälan, allmän information om produkten med digitala element, information om den allmänna karaktären av utnyttjandet och information om att säkerhetsrelaterade skäl angetts.

Tillgång till den anmälda informationen gör det möjligt för CSIRT-enheterna att få en överblick över säkerhetsmiljön på sitt territorium och att införa riskreducerande åtgärder, och därigenom öka den övergripande cybersäkerhetsnivån i unionen. Ytterligare begränsningar av spridningen av anmälningar mot bakgrund av den anmälda informationens art bör därför endast vara möjliga i fall där de cybersäkerhetsrisker som följer av ytterligare spridning, mot bakgrund av den anmälda informationens känslighet, väger tyngre än säkerhetsfördelarna för unionen, och dessa risker inte kan minskas på lämpligt sätt genom att införa begränsningar av hanteringen och vidaredelningen av anmälan genom lämpliga protokoll som används inom CSIRT-nätverket, såsom Traffic Light Protocol (TLP) eller Permissible Actions Protocol (PAP). Detta kan till exempel vara fallet om en tillverkare har informerat den CSIRT-enhet som först tog emot anmälan om att den förväntar sig att inom kort tillhandahålla en riskreducerande åtgärd (t.ex. en programfix). Det kan också vara fallet när den CSIRT-enhet som först tog emot anmälan beslutar att endast dela delar av en anmälan och dessa delar ändå är tillräckliga för att de berörda CSIRT-enheterna ska kunna säkerställa att de kan införa lämpliga riskreducerande åtgärder. Dessutom, och för att uppmuntra samarbete om identifiering av och information om sårbarheter mellan tillverkare, CSIRT-enheter och säkerhetsforskare, kan detta också vara fallet när CSIRT-enheten fungerar som betrodd mellanhand för ett pågående förfarande för samordnad delgivning av information om sårbarheter i den mening som avses i artikel 12.1 i Europaparlamentets och rådets direktiv (EU) 2022/2555(²). I enlighet med artikel 16.6 i förordning (EU) 2024/2847 ska CSIRT-enheten i sådana fall, när den beslutar att skjuta upp spridningen av en anmälan, skjuta upp den under en period som inte är längre än vad som är absolut nödvändigt och till dess att de berörda parterna inom samordnad delgivning av information om sårbarheter har gett sitt samtycke till utlämnande.